Tässä artikkelissa käsitellään lyhyesti:

• milloin ja miten Sarbanes-Oxley Act syntyi?;
• the U.S. SEC:n (Securities and Exchange Commission) lopullinen sääntö, joka liittyy SOX Section 404:ään;
• tärkeimpiä SOX:n pykäliä sääntelyn noudattamisen kannalta;
• digitaalista ratkaisua, joka auttaa varmistamaan ennakoivasti SOX:n noudattamisen; ja
• ilmaisia SOX:n noudattamisen tarkistuslistoja, jotka voit ladata, muokata ja käyttää.

Mikä on Sarbanes-Oxley Act?

Vuoden 2002 Sarbanes-Oxley Act, joka tunnetaan myös nimellä ”Public Company Accounting Reform and Investor Protection Act” senaatissa ja ”Corporate and Auditing Accountability and Responsibility Act” edustajainhuoneessa, on nimetty rahoittajiensa senaattori Paul Sarbanesin (D-Md) ja edustaja Michael Oxleyn (R-Ohio) mukaan. Yhdysvaltain kongressi hyväksyi SOX:n muun muassa Enronin, WorldComin ja Arthur Andersenin kirjanpitoskandaalien vuoksi.

Yhdysvaltain arvopaperimarkkinavalvontaviranomainen SEC valvoo SOX:n noudattamista estääkseen harhaanjohtavan yritystoiminnan, kuten valtavien velkojen pitämisen poissa taseista, rivikustannusten aliraportoinnin aktivoimalla ne kuluksi kirjaamisen sijaan ja tulojen paisuttamisen väärennetyillä kirjanpidollisilla merkinnöillä, jotka johtavat lopulta miljoonien dollareiden suuruisten sakkojen maksamiseen ja rikosperusteiseen tuomioon.

SOX-vaatimustenmukaisuus vuonna 2020

SEC:n lopullinen sääntö, jonka mukaan useammat yritysryhmät vapautetaan johdon taloudellisten tietojen tilintarkastajan varmentamisesta, on ollut voimassa 27. huhtikuuta 2020 alkaen. Muutosten hyväksymisestä on päätetty yhtiöiden vaatimusten noudattamisesta aiheutuvan taakan keventämiseksi erityisesti monimutkaisimmassa, kiistanalaisimmassa ja kalleimmassa täytäntöönpanokohteessa, SOX 404 §:ssä: Management Assessment of Internal Controls.

Sox Section 404:n mukaan jokaiseen vuosittaiseen tilinpäätökseen on sisällytettävä sisäisen valvonnan raportti, jossa todetaan, että johto on vastuussa riittävän sisäisen valvonnan rakenteen ja menettelyjen luomisesta ja ylläpitämisestä taloudellista raportointia varten. Jokaisen sisäistä valvontaa koskevan kertomuksen on myös sisällettävä johdon arvio edellä mainitun rakenteen ja menettelyjen tehokkuudesta sekä tiedot turvatoimista, rikkomuksista ja laiminlyönneistä, jotka rekisteröidyt ulkopuoliset tilintarkastajat ovat varmentaneet ja joista he ovat raportoineet.

Tämä muutos tarkoittaa, että tietyt matalan liikevaihdon yhtiöt voivat jättää johdon arvion tehokkuudesta taloudellisen raportoinnin sisäisessä valvonnassa (internal control over financial reporting, ICFR) ilman riippumattoman tilintarkastajan varmentamista. SEC arvioi, että 539 yritystä vapautettaisiin tästä velvoitteesta, mikä säästäisi sääntöjen noudattamisesta aiheutuvia kustannuksia ja mahdollisesti rohkaisisi useampia yrityksiä listautumaan pörssiin.

Sijoittajat kuitenkin todennäköisesti hinnoittelevat sisäisen valvonnan tilintarkastustodistuksen menettämisen osakkeiden riskipreemiossaan, mikä saa heidät ostamaan osakkeita korkeammalla diskonttokorolla mahdollisen heikon sisäisen valvonnan lisääntyneen riskin vuoksi. Loppujen lopuksi SOX 404 -vaatimusten noudattaminen voidaan tiivistää aiemmasta SEC:n lehdistötiedotteesta:

”Kongressi ei koskaan tarkoittanut, että 404-prosessista tulisi joustamaton, raskas ja tuhlaavainen. Section 404:n tavoitteena on antaa sijoittajille mielekkäitä tietoja yhtiön sisäisen valvonnan järjestelmien tehokkuudesta aiheuttamatta tarpeetonta vaatimusten noudattamisesta aiheutuvaa taakkaa tai tuhlaamatta osakkeenomistajien resursseja.”

Kriittisiä SOX-vaatimustenmukaisuuden tarkistuspisteitä

Kaikkien SOX:n alaisuuteen kuuluvien yhtiöiden tulisi toimittaa IFCR:t Section 404:n mukaisesti, kun taas joidenkin pienempien raportoivien yhtiöiden johdon tehokkuusarviointi sisäisen valvonnan järjestelmien tehokkuudesta (Management Effectiveness Assessment) IFCR:ssä voidaan SEC:n lopullisen säännön mukaan toimittaa ilman ulkoisen tilintarkastajan todistusta. Myös yksityisten yritysten, jotka valmistautuvat listautumaan, tulisi noudattaa Sarbanes-Oxley Act -lakia.

Yhdysvaltain arvopaperimarkkinaviranomaisen SEC:n yritysrahoitusosasto tarkastaa jokaisen raportoivan yrityksen vähintään kerran kolmessa vuodessa ja tarkastaa merkittävän määrän yrityksiä useammin. Koska SOX:n noudattaminen on ratkaisevan tärkeää, jotta yrityksesi pysyy pinnalla, seuraavassa on muita Sarbanes-Oxleyn pykäliä, joihin sinun kannattaa keskittyä enemmän:

• SOX Section 302: Yrityksen vastuu taloudellisista raporteista
  Yhtiön toimitusjohtaja (CEO) ja talousjohtaja (CFO) ovat suoraan vastuussa kaikkien SEC:lle toimitettavien taloudellisten raporttien oikeasta dokumentoinnista ja varmentamisesta. Hallituksen jäsenistä koostuvien tarkastuskomiteoiden, palkitsemisvaliokuntien ja tiedonantovaliokuntien perustaminen ja hyvän oikeudellisen neuvonantajan hankkiminen voivat auttaa vahvistamaan sisäistä valvontaa ja rajoittamaan yrityksen vastuuta.
  Koska SOX:n 302 §:n tarkoituksena on suojautua virheelliseltä taloudelliselta raportoinnilta, varmista, että todennettavissa olevat tietoturvavalvontakeinot, jotka estävät tietojen peukaloinnin, määrittelevät aikarajat ja jäljittävät tietoihin pääsyn, ovat toiminnassa, että niiden tehokkuus tarkistetaan säännöllisesti ja että ne kykenevät havaitsemaan tietoturvaloukkaukset.
• SOX Section 401: Disclosures in Periodic Reports
  Kaikki yrityksen tilinpäätökset määräaikaisraporteissa tulisi tehdä kaikkine olennaisine taseen ulkopuolisine velkoineen, velvoitteineen tai liiketoimineen, rekisteröidyn tilintarkastusyhteisön tarkastamina ja julkisesti julkaistavina.
• SOX Section 409: Real Time Issuer Disclosures
  Yhtiön taloudellisessa tilassa tai toiminnassa tapahtuvista muutoksista olisi raportoitava lähes reaaliaikaisesti käyttäen trendi- ja laadullisia tietoja ja graafisia esityksiä sijoittajien ja yleisen edun suojaamiseksi.
• SOX Section 802: Rikosoikeudelliset rangaistukset asiakirjojen muuttamisesta
  Sen, joka muuttaa, tuhoaa, silpoo, kätkee, peittää tai väärentää kirjaa, asiakirjaa tai aineellista esinettä tarkoituksenaan vaikuttaa oikeudelliseen tutkintaan, estää tai vaikeuttaa sitä, voidaan tuomita jopa 20 vuoden vankeusrangaistukseen. Tilintarkastaja, joka laiminlyö tarkastuspapereiden säilyttämisen viiden vuoden ajan, on tuomittava sakkoon ja/tai vankeuteen enintään 10 vuodeksi.
• SOX 906 §: Yrityksen vastuu taloudellisista raporteista
  Yhtiön toimitusjohtajan ja talousjohtajan tulisi varmentaa kaikki yhtiön määräaikaisraportteihin sisältyvät tilinpäätökset 302 §:ssä vaaditun lisäksi kirjallisella lausunnolla siitä, että tilinpäätökset ovat täysin vaatimusten mukaisia ja että niiden sisältämät tiedot antavat oikeat ja riittävät tiedot yhtiön taloudellisesta tilasta ja toiminnan tuloksesta.

Digitaalinen ratkaisu SOX-vaatimustenmukaisuuden ennakoivaan varmistamiseen

Sarbanes-Oxley-lain noudattamisen varmistaminen voi olla haastavaa, sillä taakka vaatimustenmukaisuuden osoittamisesta on johdon harteilla. Varmista SOX-vaatimustenmukaisuus ennakoivasti tarkastus- ja korjaustoimenpideratkaisulla, joka on opittavissa muutamassa minuutissa, jotta voit helposti arvioida asemasi, toimia ongelmiin heti alussa ja luottaa sisäiseen valvontaasi alusta alkaen. SafetyCulturen iAuditorin avulla voit hyödyntää seuraavia etuja, kun rekisteröidyt ilmaiseksi jo tänään:

• Muunna paperidokumentit helposti digitaalisiksi lomakkeiksi smartscanin avulla tai muokkaa valmiita, alakohtaisia malleja raahaa ja pudota -editorilla
• Käytä SOX-vaatimustenmukaisuuden tarkistuslistoja milloin ja missä tahansa, ja millä tahansa mobiililaitteella – jopa offline-tilassa
• Ota tai liitä valokuvatodisteet sisäisen valvonnan rakenteen ja menettelyjen tehokkuudesta taloudellista raportointia varten ja kommentoi kuvia parempaa visuaalista vertailua varten
• Määritä toimenpiteet prioriteettitasolla ja eräpäivällä, jotta voit korjata mahdolliset SOX-vaatimustenvastaisuudet välittömästi
• Luo automaattisesti ja turvallisesti SOX-vaatimustenmukaisuusraportteja pilvipalvelussa ja jaa ne tärkeimmille osakkeenomistajille sormen kosketuksellakin